これまで、「現場のIT管理者が頑張るもの」と見なされることが多かったサイバーセキュリティー。しかし、巧妙化する一方の脅威から自社のビジネスを守るには、本来は経営層が環境を理解し、セキュリティー強化に向けてリーダーシップをとる必要があります。それを裏付けるように経済産業省は2015年12月末に「サイバーセキュリティー経営ガイドライン」を公開し、サイバーセキュリティーを明確に「経営課題」として位置付けました。今回は、このガイドラインを基に、どんな対策が必要か考えていきましょう。
このガイドラインが制定された背景には、相次ぐセキュリティーインシデントの発生と、それにともなう被害の増加があります。経済産業省はガイドラインの中で、根本原因の一つに、グローバルに比較して「セキュリティー対策に対して経営者が十分なリーダーシップをとっていない」懸念を指摘。いまやIT投資が企業競争力の強化に欠かせない要因であり、事業の基盤になっていることを踏まえ、経営者のリーダーシップのもと、サイバーセキュリティーの対応強化に取り組むよう求めています。
ガイドラインでは「経営者のリーダーシップ」「系列企業やサプライチェーンも含めた対策」「平時ならびに緊急時の関係者との適切なコミュニケーション」という三つの原則を提示されています。さらに「セキュリティーポリシーの策定」「適切な管理体制の構築と責任の明確化」「セキュリティーリスクの洗い出しと、それらへの対策」といった具体的な「指示」を10項目掲げ、セキュリティー担当者に実行を指示すべきとしています。
緊急時だけでなく平時からセキュリティに関する共通理解を
ガイドラインで示された指示の一つに「PDCAの実施と、対策状況に関するCISOなどからの定期的な報告」があります。
昨年、標的型攻撃の被害が相次いで報じられた直後、多くのIT担当者が「うちはどうなっている? 大丈夫か?」と経営層に尋ねられたという声を耳にしました。しかし、突然水に飛び込んだら足がつってしまうのと同じように、緊急事態が発生してから慌てて経営陣がやってきても、スムーズに事は運ばないでしょう。
こうした事態を避けるには、インシデント発生などの緊急時だけでなく平常時から定期的に、経営陣とセキュリティー担当者がコミュニケーションをとり、「今、自社のセキュリティー対策はどの程度実施できているのか」「どの部分にリスクが残存しているか」といった情報を共有し、対応手順を確認しておくことが重要です。
「脅威対策ライフサイクル」を通じた改善でPDCAを実現
過去のセキュリティー対策と被害を受けた組織で見受けられたのが、その時点でベストプラクティスとされている事柄を一通り実施はするものの、なかなか継続的な改善に取り組めないケースです。その結果、脅威側の変化に追いつくことができず、被害が明らかになってから「対策していたはずなのに、なぜ侵入が起こったのか」と慌てることになる恐れも出てきます。
経済産業省のガイドラインはこうした過去の反省を踏まえ、「PDCA」の実施を求めています。重要なのは、今目の前にある脅威にだけ対処することではありません。今後新たに登場してくるであろう攻撃手法、今後新たに生まれるリスクにも備える必要があるのです。
これを実現するには、「防御」「検知」「復旧」からなる脅威対策のライフサイクルを継続的に回し、そこから得られた知見をフィードバックし、「適応力」を高めていくことが重要です。一見地道に見えるこのような繰り返しこそが、セキュリティーレベルの向上につながります。セキュリティーの世界においても、まさに「継続は力」なのです。
とはいえ、これを現場の頑張りだけに頼るのは、なかなか難しいことです。また、サイバーセキュリティーへの知識を深め、同時に対策のためのツールを使いこなせる人材の育成には時間もコストもかかります。インテル セキュリティでは、McAfee SIEMや新製品の「McAfee Active Response」といったソリューションを連携させることにより、インシデントの調査・分析や復旧に要する時間を短縮を目指しています。こうしたソリューションを活用し、自動化できるところは自動化を促進するだけでなく、運用の作業効率を向上させることによって、継続的なPDCAサイクルの実現をサポートできると考えています。
ガイドラインが述べる通り、ITの利活用が企業の収益性向上に不可欠なものとなっている現在、セキュリティーインシデントによって引き起こされるサービス停止や情報漏えいは、企業経営に大きなダメージをもたらす恐れがあります。あらためて、サイバーセキュリティーが経営課題であることを重く受け止め、PDCAサイクルの実現に取り組むきっかけとされてはいかがでしょうか。
■関連サイト
・マカフィーblogのエントリー
・マカフィー
